Paso número 4 para el cumplimiento del GDPR: Informar
Tras abordar los puntos previos de Descubrir, Administrar y Proteger, ya hemos llegado al último de los cuatro pasos fundamentales que hay que seguir para adaptar el funcionamiento de nuestra empresa al nuevo Reglamento General de Protección de Datos (RGPD o GDPR, tal y como se conoce por sus siglas en inglés): Informar.
Informar consiste tanto en conservar la información requerida como en gestionar posibles peticiones de datos o notificaciones de brechas. Para ello, con tal de asegurarnos el adecuado cumplimiento de las exigencias del GDPR, en primer lugar es necesario asegurarnos de la correcta conservación de los registros.
Así, es necesario que las empresas mantengan un registro adecuado de los motivos del proceso de los datos; de las clasificaciones de los datos personales; de las terceras partes con acceso a los datos; de las medidas de seguridad que se han tomado a nivel organizativo y a nivel técnico y, finalmente, de los plazos de retención de los datos.
En segundo lugar, también es fundamental disponer de las herramientas de reporte adecuadas. En caso de no disponer de ellas, su implementación es tremendamente necesaria para poder informar de manera correcta de la documentación de los servicios en la nube; de los registros de auditoría; notificar posibles brechas de datos; gestionar solicitudes de sujeto de datos y, finalmente, entregar tanto informes de gestión como revisiones de cumplimiento.
A nivel de GDPR, se entiende como sujeto de datos cualquier persona cuyos datos personales están siendo recogidos, mantenidos o procesados.
Existen una serie de características en varias de las aplicaciones de Microsoft que pueden asistirnos a la hora de llevar a cabo el paso de Informar en nuestro proceso de adaptación al cumplimiento del GDPR. Así, en el Microsoft Trust Center contamos con Service Trust Portal; en Microsoft Azure, con las herramientas Azure Auditing and Logging, Azure Data Lake y Azure Monitor; en Enterprise Mobility + Security, con Azure Information Protection; en Microsoft Dynamics 365, con los informes y analíticas que nos ofrece este software; en Microsoft Office 365, con Service Assurance, Office 365 Audit Logs y Customer Lockbox; finalmente, en Microsoft Windows y Windows Server, con Windows Defender Advanced Threat Protection.
Desde AWERTY, a lo largo de una serie de posts dedicados al GDPR, estamos tratando de explicaros cómo podéis cumplir una parte de este pormenorizado reglamento basándonos en los servicios web de Microsoft que podemos poner al alcance de vuestra empresa: Azure, Office 365 y Microsoft Dynamics 365. También podéis poneros en contacto con nosotros si tenéis alguna duda o pregunta que plantearnos acerca de este respecto.
